Um download falso do Slack está dando aos atacantes um desktop oculto na sua máquina
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Um instalador malicioso disfarçado como Slack está sendo distribuído através de domínios de typosquatting para enganar usuários desavisados. Uma vez executado, ele instala um aplicativo Slack legítimo juntamente com um carregador encoberto que se conecta a um servidor de comando e controle, recupera uma carga útil HVNC criptografada e a injeta no explorer.exe. O malware então cria uma sessão de desktop invisível que permite aos atacantes navegar, interagir e realizar ações na máquina comprometida sem que a vítima perceba. Esta abordagem é particularmente perigosa em ambientes onde a marca Slack é amplamente confiada tanto por indivíduos quanto por usuários corporativos.
Investigação
Pesquisadores desembrulharam o instalador e descobriram dois arquivos temporários: slack.tmp, que continha um pacote de atualização Squirrel legítimo, e svc.tmp, que servia como o carregador malicioso. A análise mostrou que o carregador estabeleceu persistência através de uma chave de registro Run, resolveu APIs do Windows dinamicamente durante a execução, baixou uma DLL criptografada, salvou-a como wmiprvse_*.tmp, e usou injeção baseada em seção para carregá-la em explorer.exe. Os investigadores também observaram comunicação de saída com um servidor de comando e controle através da porta TCP 8081. Havia também lógica anti-análise adicional, incluindo detecção de debugger e verificações de tempo de sandbox.
Mitigação
Os usuários devem baixar o Slack apenas do site oficial slack.com ou de links salvos confiáveis e verificar assinaturas digitais antes de executar qualquer instalador. As organizações devem habilitar proteção em tempo real capaz de bloquear domínios maliciosos conhecidos e executáveis suspeitos. Os defensores também devem monitorar tráfego de saída inesperado na porta 8081, entradas de registro Run não familiares e processos filhos anormais associados a aplicativos confiáveis. Deteções baseadas em comportamento podem ajudar a identificar sessões de desktop ocultas e atividades relacionadas à HVNC antes que os atacantes ganhem acesso interativo completo.
Resposta
Se essa atividade for detectada, isole imediatamente o ponto de extremidade afetado da rede, termine o carregador malicioso e quaisquer processos relacionados à HVNC, e remova o mecanismo de persistência da chave de registro Run. Deve-se realizar uma varredura completa de malware, e todos os domínios e endereços IP maliciosos relacionados devem ser bloqueados em todo o ambiente. Todas as credenciais usadas na máquina comprometida devem ser redefinidas a partir de um dispositivo limpo, e a equipe de segurança deve coletar artefatos forenses para apoiar investigações e escopos adicionais.
Fluxo de Ataque
Detecções
Possível que um Stream de Dados Alternativo (ADS) tenha sido criado (via file_event)
Ver
Pontos de Persistência Possíveis [ASEPs – Software/NTUSER Hive] (via registry_event)
Ver
IOCs (HashSha256) para detectar: Um download falso do Slack está dando aos atacantes um desktop oculto na sua máquina
Ver
IOCs (SourceIP) para detectar: Um download falso do Slack está dando aos atacantes um desktop oculto na sua máquina
Ver
IOCs (DestinationIP) para detectar: Um download falso do Slack está dando aos atacantes um desktop oculto na sua máquina
Ver
Detecção de Injeção Baseada em Seção no Explorer.exe [Windows Sysmon]
Ver
Instalador Falso do Slack Criando Sessão de Desktop Oculta [Criação de Processo do Windows]
Ver
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria & Baseline deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e devem gerar exatamente a telemetria esperada pela lógica de detecção.
-
Narrativa de Ataque e Comandos:
- Acesso Inicial – O atacante entrega um instalador trojanizado chamado
slack-4-49-81.exevia um e-mail de phishing. - Execução – A vítima executa o arquivo; ele extrai um carregador oculto
svc.tmpto%TEMP%. - Criação de Desktop Oculto (T1564.003) –
svc.tmpinvocaCreateProcesscomSW_HIDE, gerando uma sessão de desktop oculta que hospeda uma ferramenta de acesso remoto. - Persistência (T1547.013 & T1546.016) – O carregador registra um servidor COM que é iniciado automaticamente através de um atalho colocado na pasta de Inicialização, garantindo a execução no reinício.
- Instalação Potencial de Rootkit (T1014) – Se elevado,
svc.tmpsolta um driver rootkit em%SystemRoot%System32driversmaldrv.sys.
- Acesso Inicial – O atacante entrega um instalador trojanizado chamado
-
Script de Teste de Regressão: O script reproduz os passos 2–4 com binários inofensivos (cópias de
notepad.exe) enquanto preserva exatamente os nomes de arquivos que a regra monitora.# ------------------------------------------------- # Teste de Regressão – Simulação de Instalador Falso do Slack # ------------------------------------------------- # 1. Prepare os binários falsos (use notepad.exe benigno) $temp = $env:TEMP $installer = Join-Path $temp "slack-4-49-81.exe" $loader = Join-Path $temp "svc.tmp" Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $installer -Force Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $loader -Force # 2. Execute o instalador – isso disparará a regra de detecção Write-Host "[*] Iniciando instalador falso ..." Start-Process -FilePath $installer -WindowStyle Hidden -PassThru | Out-Null # 3. Simule a criação de desktop oculto (carregador) Write-Host "[*] Iniciando carregador oculto ..." Start-Process -FilePath $loader -WindowStyle Hidden -PassThru | Out-Null # 4. Crie um atalho na pasta de Inicialização para emular persistência $startup = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartup" $shortcutPath = Join-Path $startup "Slack Hidden.lnk" $shell = New-Object -ComObject WScript.Shell $shortcut = $shell.CreateShortcut($shortcutPath) $shortcut.TargetPath = $loader $shortcut.WindowStyle = 7 # Oculto $shortcut.Save() Write-Host "[+] Simulação concluída. Verifique o SIEM por eventos com Image terminando em 'slack-4-49-81.exe' ou 'svc.tmp'." -
Comandos de Limpeza: Remova os artefatos de teste e quaisquer atalhos criados.
# Script de Limpeza – execute com o mesmo contexto de usuário $temp = $env:TEMP Remove-Item -Path (Join-Path $temp "slack-4-49-81.exe") -ErrorAction SilentlyContinue Remove-Item -Path (Join-Path $temp "svc.tmp") -ErrorAction SilentlyContinue $shortcutPath = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupSlack Hidden.lnk" Remove-Item -Path $shortcutPath -ErrorAction SilentlyContinue Write-Host "[+] Limpeza concluída."